Banner
首页 > 新闻 > 内容
带您了解如何建立安全日志审计系统?
- 2018-12-20-

建立信息安全日志审计系统在计算机网络环境下是一个全方位、多层次的复杂系统工程,深入到计算机应用的每一个领域与技术核心,它按一定规则,在不同层次获取并分析各种记录、日志、报告等信息资源,以如实反映系统安全情况和那里发生的所有事件,其中,事关网络、系统信息安全的“网络与主机信息监测设计”、“应用系统信息监测审计”、“网络安全系统设备信息审计”和“系统安全评估报告”应作为安全日志审计系统的主体,而“物理安全日志记录”则主要为重要场所提供直接的现场审计记录和监控,可作为日志审计系统的辅助系统。

在全方位、多层次的安全日志审计系统监控下,无论谁试图从网络或基于网络向主机系统应用系统或直接向主机系统、应用系统发起外部的、内部的、内外串联的与滥用特权的入侵和攻击,都将在安全日志审计系统中留下他的活动记录,如果安全日志审计系统能够同时和实时告警与连接阻断功能相结合或互动,就会组成一个及时响应、防审结合的纵深防御体系,将被动事后审计与实时主动防御结合起来,更有效地阻止入侵和攻击,避免系统因此而产生不应有的损失。

利用入侵监测预警系统实现网络与主机信息监测审计

网络安全入侵监测预警系统基本功能是:负责监视网络上的通信数据流和网络服务器系统中的审核信息,捕捉可疑的网络和服务器系统活动,发现其中存在的安全问题,当网络与主机被非法使用或破坏时,进行实时响应或报警;产生通告信息和日志。而系统审计管理人员根据这些通告信息、日志和分析结果,调整和更新已有的安全管理策略或进行跟踪追查等事后处理措施。所以,在这个层次上的入侵监测和安全审计是一对因果关系,前者获取的记录结果是后者审核分析资料的来源,或者说前者是手段而后者是目的,任何一方都不能脱离另一方单独工作。作为一个完整的安全审计需要入侵监测系统实时、准确提供基于网络、主机和应用系统的审核分析资料。

基于网络和主机监测的安全审计架构示意

对重要应用系统运行情况的审计目前,应用系统平台主要有Oracle、Ser server、Lotus的Domino/Notes(全文数据库、应用电子邮件系统),这些应用平台本身都内嵌有较为完备的信息审核机制,作为全面审计跟踪服务器上一切活动的工具,它可以实现在数据库的表、视图、目录、文档、列等不同层次,对进行Open、Create、Update、Delete等细粒度访问操作时的监控。但是,要使其具有良好的可读性和实时性,还需应用开发程序开发人员做大量耗时、费力的工作,这是很困难的,因为应用系统的开发、销售商一般不会把审核机制底层应用接口提供给具体应用程序开发者。在技术力量不足的情况下,最便捷的解决方法还是寻找可靠、成熟的现有技术解决,以使应用程序开发人员能够专心于程序可用性开发上,而减少对难度较大的程序安全性方面的劳动,达到缩短开发周期、快速投入应用的目的。截止目前为止,有四种解决方案:基于主机操作系统代理;基于应用系统代理;基于应用程序独立程序;基于网络旁路监控方式。

主机操作系统代理型审计示意图

一个分布式入侵检测和安全日志审计系统S_Audit简介

S_Audit网络安全日志审计系统是国内复旦光华公司自主知识产权的产品,它在设计上采用了分布式审计和多层次审计相结合的方案。网络安全日志审计系统是对网络系统多个层次上的全面审计。多层次审计是指整个日志审计系统不仅能对网络数据通信操作进行底层审计(如网络上的各种Internet协议),还能对系统和平台(包括操作系统和应用平台)进行中层审计,以及为应用软件服务提供高层审计,这使它区别传统的审计产品和IDS系统。同时,对于一个地点分散、主机众多、各种连网方式共存的大规模网络,网络安全日志审计系统应该覆盖整个系统,即网络安全日志审计系统应对每个子系统都能进行安全审计,这样才能确保整体安全。因此,网络安全日志审计系统除了是一个多层次日志审计系统之外,还是一个多分布、多Agent结构的日志审计系统,它在结构上具备可伸缩、易扩展的特点。